Brute Force
Brute force attack masih menjadi salah satu teknik cracking password paling populer yang dilakukan untuk meretas password. Serangan ini dilakukan agar peretas mendapatkan password untuk bisa masuk ke dalam sistem.
Apa itu Brute Force?
Brute Force adalah serangan yang dilakukan untuk meretas password dengan cara mencoba setiap password sampai akhirnya menemukan password yang tepat.
Selain untuk meretas password, brute force juga bisa digunakan untuk mencari username atau yang lainnya, bahkan bisa di-mix (contoh: username dan password).
Peretas akan menggunakan algoritma yang menggabungkan huruf, angka dan simbol (sesuai dengan racikannya) untuk menghasilkan password yang valid. Seperti mencoba menggunakan kata “password” yang ditulis dan dikombinasikan dengan simbol sehingga menjadi “p@$$word”.
Keberhasilan dari teknik ini adalah bergantung terhadap "racikan" wordlist yang si peretas buat. Dalam real case-nya, biasanya peretas mengumpulkan informasi (information gathering) sebanyak-banyaknya, termasuk diantaranya adalah dengan melakukan social engineering.
Apa itu Wordlist?
Dalam hal ini, wordlist adalah kumpulan kata (password) yang akan dicoba satu per satu untuk menemukan password yang valid.
Salah satu wordlist yang terkenal adalah rockyou.txt. File tersebut berisi jutaan password yang umum digunakan.
Tetapi biasanya orang-orang tidak menggunakan kata-kata seperti itu lagi, dan walaupun ada, akan memakan waktu yang sangat lama, karena adanya jutaan kata yang dicoba. Sehingga pada real case, sebaiknya kita melakukan information gathering sebaik-baiknya dan meracik wordlist sendiri.
Pengetahuan yang Harus Dimiliki
Ada beberapa pemahaman yang sebaiknya dimiliki untuk melakukan brute force (khususnya pada DVWA) adalah:
Penggunaan tool seperti Hydra dan Burpsuite akan kita gunakan nantinya.
Penggunaan search engine seperti google. Nantinya anda mungkin akan menemukan sesuatu yang baru dan sebagai pentester anda harus bisa mempelajari sesuatu dengan cepat.
Ada pun dalam real case-nya, pemahaman seperti limiting, WAF, scripting, dll., saya rasa itu akan mudah dipelajari ketika anda telah terbiasa dengan 2 hal di atas.
Bagaimana Meminimalisir Brute Force?
Ada beberapa cara untuk meminimalisir atau menghambat serangan brute force, yaitu:
Limit kesalahan password Ketika user salah menginputkan password dalam 3x (atau berapa pun sesuai kebijakan masing-masing), maka ia harus menunggu beberapa waktu terlebih dahulu agar bisa melakukan login kembali.
Menambahkan CAPTCHA CAPTCHA adalah suatu bentuk uji tantangan-tanggapan (challenge-response test) yang digunakan untuk memastikan bahwa jawaban tidak dihasilkan oleh robot (bot).
Port Knocking Port Knocking adalah metode yang dilakukan untuk membuka akses ke port tertentu yang telah di-block oleh Firewall pada perangkat jaringan dengan cara mengirimkan paket atau koneksi tertentu. Biasanya teknik ini digunakan untuk koneksi SSH.
Dan lain-lain.
Last updated